В сентябре прошлого года команда реагирования на инциденты Security Joes была вызвана на инцидент, который был идентифицирован как попытка социальной инженерии на онлайн-платформе обслуживания клиентов.
IceBreaker APT
"Ice Breaker использует очень специфическую технику социальной инженерии, которая в некоторой степени жертвует их личностью", - говорит старший исследователь угроз Фелипе Дуарте.
Генеральный директор и исследователь вредоносных программ Идо Наор добавил: "В прошлом субъекты угроз и группы вымогателей выдавали свои идентификаторы местоположения, допуская грамматические ошибки при взаимодействии с нашими экспертами. Например, группа Cuba ransomware использовала русское слово "sever" вместо "server", переведя часть своего потока на слово "north". Это сразу же вызвало подозрение, что злоумышленники могут быть русскоговорящими людьми".
Убедив человека-оператора открыть ZIP- или LNK-файл, агент угрозы был всего в нескольких шагах от того, чтобы собрать учетные данные, открыть обратную оболочку и начать второй этап атаки. Из четырех расследованных нами инцидентов только в одном в качестве доверенной ссылки для загрузки использовался DropBox. Изначально злоумышленник не выбрал этот вариант, но после того, как он разочаровался в расшифровке разговора, когда его приманка в виде скриншота не сработала, у него не осталось другого выбора.
Модус операди злоумышленника заключается в том, чтобы притвориться клиентом сайта с проблемой, например, входа в систему или регистрации, когда на самом деле у "посетителя" нет аккаунта. Это должно быть первым признаком того, что что-то не так.
Второй признак - злоумышленник хочет поделиться с командой скриншотом своей проблемы, но вместо того, чтобы прикрепить изображение, он отправляет ссылку для его загрузки с внешних сайтов. Эти сайты представляют собой поддельные копии, выдающие себя за онлайн-сервис screenshot[.]net, обычно использующие доменные имена, похожие на официальные, путем злоупотребления несколькими символами в стандарте Unicode, также называемые IDN Homograph Attacks; или через ссылки DropBox для доставки вредоносного ПО представителю службы поддержки клиентов.
Indicators of Compromise
IPv4
- 194.5.97.17
- 178.63.65.51
Domains
- ponzix.net
- screenshot.icu
- screenshotcap.com
- screenshotlite.com
- xn--screnshot-iib.net
- xn--screnshot-jib.net
SHA256
- 0f043b90f6fa68551221ec560068aac4abb90749ca42a63dd62664e483940ec3
- 185182f369edcb96118a91dcad39eb5b63239112ed6963a8c274178bf1b55394
- 24df9651a38ab5328d59ab1c448a98afb3df8209b8877bbde63d49308e0d8c68
- 31d03d305354eb92f3ea0420b0f674bf6414422b24bb717ec28dfacdc2647a1d
- 3b86fb030c0d1b440307b8d2ca7bbe2590d58e5a28118985e9774990a1c74d21
- 8727e8759232721413c038e45c5e05cbfe5194489c060875f273329db2aa7c08
- 978940d9785d3ade9f1c9b13ce35d67af2f47091740c2a4a5978e512543e6d76
- 9ea31ef8ee5abaae8752f1db783431cbb9e691a457ae2cfe648210adeefb8eff
- a0a5a12f4781433ef3c0abd89186bd987f5d02c4e643803d92ff0413852d2486
- a2047deac9bb8af7107e35b6e3c8617bec01dd9121a76f4fbca1fa8c760ba40e
- a6e97bdbd841c9ac8bdad6145cbe65f38a31d74eb9c00346bb5b3a005508b544
- a857fbb06f493cd63f2c8128038bf78d1467295e89be0c9848edd8a2dd8b44e8
- aa2521bf540a4070ebf4ad340051d4df1b9608eff22e0110a0a49e1289cdbf03
- b5ab83ceacfa4fba714d515248f166900f1b21e9a946e684be1e415439677309
- b8791cc1ec61e61b59cb8c251b49c644a597025fe1d1195e960212980822a93d
- e3a7c1c8b8fe7a2fce89318015187adb672c31747d966218c962c91248179553
- f3645c8b04fe683ade9b5a46db8af6428c15e94730a25f05bf2378a4b28ad065
- f97ee203a3dd08ac38d16295dbf9cb0c7476690ba03a05afefed34d7e8cfd44e
- fee0935cec808fe27112cf3c40e91d4702872f43064e9e9f71f9f1e6a8894eaf